【網(wǎng)絡(luò)通信安全管理員認(rèn)證-中級】第三章網(wǎng)絡(luò)安全基礎(chǔ)詳細(xì)

1、第三章 網(wǎng)絡(luò)安全基礎(chǔ)3.1 操作系統(tǒng)安全操作系統(tǒng)安全主要是利用安全手段防止操作系統(tǒng)本身被破壞，防止非法用戶對計(jì)算器資源的竊取。操作系統(tǒng)的安全機(jī)制1 硬件安全機(jī)制 存儲保護(hù) I/O保護(hù)（特權(quán)指令）2 操作系統(tǒng)安全標(biāo)志和鑒別3 訪問控制操作系統(tǒng)的訪問控制是操作系統(tǒng)安全控制保護(hù)中重要的一環(huán)，在身份識別的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以控制。在訪問控制中，對其訪問必須進(jìn)行控制的資源稱為客體，同理，必須控制它對客體的訪問的活動資源，稱為主體。主體即訪問的發(fā)起者，通常為進(jìn)程，程序或用戶?？腕w包括各種資源，如文件，設(shè)備，信號量等。每一主體（進(jìn)程）都在一特定的保護(hù)域下工作。保護(hù)域規(guī)定了進(jìn)程可以訪問的資

2、源。每一域定義了一組客體及可以對客體采取的操作。操作系統(tǒng)的某一合法用戶可任意運(yùn)行一段程序來修改該用戶擁有的文件訪問控制信息，而操作系統(tǒng)無法區(qū)別這種修改是用戶自己的合法操作還是計(jì)算機(jī)病毒的非法操作；另外，也沒有什么一般的方法能夠防止計(jì)算機(jī)病毒將信息通過共享客體從一個(gè)進(jìn)程傳送給另一個(gè)進(jìn)程。在強(qiáng)制訪問控制中，系統(tǒng)對主體與客體都分配一個(gè)特殊的一般不能更改的安全屬性，系統(tǒng)通過比較主體與客體的安全屬性來決定一個(gè)主體是否能夠訪問某個(gè)客體。用戶為某個(gè)目的而運(yùn)行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強(qiáng)制訪問控制還可以阻止某個(gè)進(jìn)程生成共享文件并通過這個(gè)共享文件向其它進(jìn)程傳遞信息

3、。 所謂的自主訪問控制是一種最為普遍的訪問控制手段，用戶可以按自己的意愿對系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他們的文件，亦即一個(gè)用戶可以有選擇地與其它用戶共享他的文件。用戶有自主的決定權(quán)。所謂強(qiáng)制訪問控制是指用戶與文件都有一個(gè)固定的安全屬性。系統(tǒng)用該安全屬性來決定一個(gè)用戶是否可以訪問某個(gè)文件。安全屬性是強(qiáng)制性的規(guī)定，它是由安全管理員，或者是操作系統(tǒng)根據(jù)限定的規(guī)則確定的，用戶或用戶的程序不能加以修改。如果系統(tǒng)認(rèn)為具有某一個(gè)安全屬性的用戶不適于訪問某個(gè)文件，那么任何人（包括文件的擁有者）都無法使該用戶具有訪問該文件的僅力。4 最小特權(quán)管理和可信通路3.1.2 WINDOWS系統(tǒng)安全1 WI

4、NDOWS認(rèn)證機(jī)制2 訪問控制機(jī)制3 審計(jì)/日志機(jī)制4 協(xié)議過濾和防火墻5 文件加密系統(tǒng)Windows基本進(jìn)程介紹csrss 或者 csrss.exe Microsoft Client/Server Runtime Subsystem 這個(gè)是用戶模式Win32子系統(tǒng)的一部分。csrss代表客戶/服務(wù)器運(yùn)行子系統(tǒng)而且是一個(gè)基本的子系統(tǒng)必須一直運(yùn)行。csrss用于維持Windows的控制，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。該進(jìn)程管理Windows圖形相關(guān)任務(wù)。SMSSSession Manager Subsystem 該進(jìn)程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動名稱

5、類似LPT1以及COM，調(diào)用Win32殼子系統(tǒng)和運(yùn)行在Windows登陸過程。smss.exe是微軟windows操作系統(tǒng)的一部分。該進(jìn)程調(diào)用對話管理子系統(tǒng)和負(fù)責(zé)操作你系統(tǒng)的對話。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。 Services進(jìn)程services.exe是微軟Windows操作系統(tǒng)的一部分。用于管理啟動和停止服務(wù)。該進(jìn)程也會處理在計(jì)算機(jī)啟動和關(guān)機(jī)時(shí)運(yùn)行的服務(wù)。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。終止進(jìn)程后會重啟。Explorerexplorer.exe是Windows程序管理器或者Windows資源管理器，它用于管理Windows圖形殼，包括開始菜單、任務(wù)欄、桌面和文件管理，刪

6、除該程序會導(dǎo)致Windows圖形界面無法適用。explorer.exe也有可能是w32.Codered等病毒。該病毒通過email郵件傳播，當(dāng)打開病毒發(fā)送的附件時(shí)，即被感染，會在受害者機(jī)器上建立SMTP服務(wù)，允許攻擊者訪問你的計(jì)算機(jī)、竊取密碼和個(gè)人數(shù)據(jù)。Lsasslsass.exe是一個(gè)系統(tǒng)進(jìn)程，用于微軟Windows系統(tǒng)的安全機(jī)制。它用于本地安全和登陸策略。 Svchostsvchost.exe是一個(gè)屬于微軟Windows操作系統(tǒng)的系統(tǒng)程序，微軟官方對它的解釋是：Svchost.exe 是從動態(tài)鏈接庫 (DLL) 中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。這個(gè)程序?qū)ο到y(tǒng)的正常運(yùn)行是非常重要,而且是不能

7、被結(jié)束的。win2000有兩個(gè)svchost進(jìn)程，winxp中則有四個(gè)或四個(gè)以上的svchost進(jìn)程，而win2003server中則更多 。windows系統(tǒng)進(jìn)程分為獨(dú)立進(jìn)程和共享進(jìn)程兩種，“svchost.exe”文件存在于“%systemroot%system32”目錄下，它屬于共享進(jìn)程。隨著windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由svchost.exe進(jìn)程來啟動。但svchost進(jìn)程只作為服務(wù)宿主，并不能實(shí)現(xiàn)任何服務(wù)功能，即它只能提供條件讓其他服務(wù)在這里被啟動，而它自己卻不能給用戶提供任何服務(wù)。那這些服務(wù)是如何實(shí)現(xiàn)的呢？ 原來這些系統(tǒng)服務(wù)是以動態(tài)鏈